Ενημερώστε τώρα: Το κρίσιμο σφάλμα Kerberos των Windows παρακάμπτει την ασφάλεια της Microsoft

Η Microsoft διευκόλυνε τις ομάδες ασφάλειας επιχειρήσεων το 2024 με μια σχετικά ελαφριά ενημέρωση ασφαλείας του Ιανουαρίου που αποτελείται από ενημερώσεις κώδικα για 48 μοναδικά CVE, μόνο δύο από τα οποία η εταιρεία αναγνώρισε ως κρίσιμης σοβαρότητας.

Για δεύτερο συνεχόμενο μήνα, η ενημέρωση κώδικα Τρίτης της Microsoft δεν περιελάμβανε σφάλματα zero-day, πράγμα που σημαίνει ότι οι διαχειριστές δεν θα χρειαστεί να αντιμετωπίσουν τυχόν νέα τρωτά σημεία που εκμεταλλεύονται ενεργά οι εισβολείς αυτή τη στιγμή – κάτι που συνέβη συχνά το 2023.

Μόνο δύο σφάλματα κρίσιμης σοβαρότητας

Όπως συμβαίνει συνήθως, τα CVEs που Η Microsoft αποκάλυψε στις 9 Ιανουαρίου επηρέασε ένα ευρύ φάσμα των προϊόντων της και περιελάμβανε ευπάθειες κλιμάκωσης προνομίων, ελαττώματα απομακρυσμένης εκτέλεσης κώδικα, σφάλματα παράκαμψης ασφαλείας και άλλα τρωτά σημεία. Η εταιρεία ταξινόμησε 46 από τα ελαττώματα ως Σημαντικής σοβαρότητας, συμπεριλαμβανομένων πολλών που οι επιτιθέμενοι ήταν πιο πιθανό να εκμεταλλευτούν.

Ένα από τα δύο κρίσιμα σφάλματα σοβαρότητας στην τελευταία ενημέρωση της Microsoft είναι CVE-2024-20674, μια ευπάθεια παράκαμψης της δυνατότητας ασφαλείας των Windows Kerberos που επιτρέπει στους εισβολείς να παρακάμπτουν μηχανισμούς ελέγχου ταυτότητας και να εκτελούν επιθέσεις πλαστοπροσωπίας. «Οι εισβολείς μπορούν να εκμεταλλευτούν αυτό το ελάττωμα μέσω μιας επίθεσης «μηχανής στη μέση» (MitM)», λέει ο Saeed Abbasi, διευθυντής έρευνας ευπάθειας στην Qualys σε σχόλια στο Dark Reading. "Το επιτυγχάνουν αυτό δημιουργώντας ένα σενάριο πλαστογράφησης τοπικού δικτύου και στη συνέχεια στέλνοντας κακόβουλα μηνύματα Kerberos για να ξεγελάσουν έναν υπολογιστή-πελάτη ώστε να πιστέψει ότι επικοινωνεί με έναν νόμιμο διακομιστή ελέγχου ταυτότητας Kerberos."

Η ευπάθεια απαιτεί από τον εισβολέα να έχει πρόσβαση στο ίδιο τοπικό δίκτυο με τον στόχο. Δεν είναι απομακρυσμένη εκμετάλλευση μέσω Διαδικτύου και απαιτεί εγγύτητα στο εσωτερικό δίκτυο. Ακόμα κι έτσι, υπάρχει μεγάλη πιθανότητα ενεργών προσπαθειών εκμετάλλευσης στο εγγύς μέλλον, λέει ο Abbasi.

Ο Ken Breen, ανώτερος διευθυντής έρευνας απειλών στα Immersive Labs, εντόπισε CVE-2024-20674 ως ένα σφάλμα που οι οργανισμοί καλό θα ήταν να επιδιορθώσουν γρήγορα. «Αυτά τα είδη διανυσμάτων επιθέσεων είναι πάντα πολύτιμα για απειλές όπως οι χειριστές ransomware και οι μεσίτες πρόσβασης», επειδή επιτρέπουν σημαντική πρόσβαση σε εταιρικά δίκτυα, σύμφωνα με δήλωση της Breen.

Το άλλο κρίσιμο θέμα ευπάθειας στην τελευταία παρτίδα ενημερώσεων ασφαλείας της Microsoft είναι το CVE-2024-20700, μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στην τεχνολογία Windows Hyper-Virtualization. Η αξιοποίηση της ευπάθειας δεν είναι ιδιαίτερα εύκολη γιατί για να γίνει αυτό, ένας εισβολέας θα πρέπει ήδη να βρίσκεται μέσα στο δίκτυο και δίπλα σε έναν ευάλωτο υπολογιστή, σύμφωνα με δήλωση του Ben McCarthy, επικεφαλής μηχανικού κυβερνοασφάλειας στην Immersive Labs.

Η ευπάθεια περιλαμβάνει επίσης μια συνθήκη φυλής - ένα είδος ζητήματος που είναι πιο δύσκολο να εκμεταλλευτεί ένας εισβολέας από πολλούς άλλους τύπους ευπάθειας. "Αυτή η ευπάθεια έχει απελευθερωθεί ως εκμετάλλευση λιγότερο πιθανή, αλλά επειδή το Hyper-V εκτελείται ως τα υψηλότερα προνόμια σε έναν υπολογιστή, αξίζει να σκεφτούμε την επιδιόρθωση", είπε ο McCarthy.

Σφάλματα εκτέλεσης απομακρυσμένου κώδικα υψηλής προτεραιότητας

Οι ερευνητές ασφαλείας επεσήμαναν δύο άλλα σφάλματα RCE στην ενημέρωση του Ιανουαρίου που αξίζουν προτεραιότητας: CVE-2024-21307 στο Windows Remote Desktop Client και CVE-2024-21318 στον SharePoint Server.

Η Microsoft αναγνώρισε το CVE-2024-21307 ως ευπάθεια που είναι πιο πιθανό να εκμεταλλευτούν οι εισβολείς, αλλά έχει παράσχει λίγες πληροφορίες σχετικά με το γιατί, σύμφωνα με τον Breen. Η εταιρεία έχει σημειώσει ότι οι μη εξουσιοδοτημένοι εισβολείς πρέπει να περιμένουν έναν χρήστη να ξεκινήσει μια σύνδεση για να μπορέσει να εκμεταλλευτεί την ευπάθεια.  

«Αυτό σημαίνει ότι οι εισβολείς πρέπει να δημιουργήσουν έναν κακόβουλο διακομιστή RDP και να χρησιμοποιήσουν τεχνικές κοινωνικής μηχανικής για να εξαπατήσουν έναν χρήστη για να συνδεθεί», είπε ο Breen. "Αυτό δεν είναι τόσο δύσκολο όσο ακούγεται, καθώς οι κακόβουλοι διακομιστές RDP είναι σχετικά εύκολο να ρυθμίσουν τους εισβολείς και στη συνέχεια να στείλουν συνημμένα .rdp σε μηνύματα ηλεκτρονικού ταχυδρομείου σημαίνει ότι ο χρήστης πρέπει μόνο να ανοίξει το συνημμένο για να ενεργοποιήσει την εκμετάλλευση."

Μερικά περισσότερα εκμεταλλεύσιμα σφάλματα κλιμάκωσης προνομίων

Η ενημέρωση Ιανουαρίου της Microsoft περιελάμβανε ενημερώσεις κώδικα για αρκετές ευπάθειες κλιμάκωσης προνομίων. Ανάμεσα στα πιο σοβαρά από αυτά είναι για CVE-2023-21310, ένα σφάλμα κλιμάκωσης προνομίων στο πρόγραμμα οδήγησης φίλτρου Windows Cloud Files Mini. Το ελάττωμα μοιάζει πολύ με CVE-2023-36036, μια ευπάθεια κλιμάκωσης προνομίων zero-day στην ίδια τεχνολογία, την οποία η Microsoft αποκάλυψε στο Ενημερωμένη έκδοση ασφαλείας Νοεμβρίου 2023.

Οι επιτιθέμενοι εκμεταλλεύτηκαν ενεργά αυτό το ελάττωμα για να προσπαθήσουν να αποκτήσουν προνόμια σε επίπεδο συστήματος σε τοπικές μηχανές — κάτι που μπορούν να κάνουν και με την ευπάθεια που αποκαλύφθηκε πρόσφατα. «Αυτό το είδος βήματος κλιμάκωσης προνομίων παρατηρείται συχνά από τους φορείς απειλών σε συμβιβασμούς στο δίκτυο», είπε ο Breen. «Μπορεί να επιτρέψει στον εισβολέα να απενεργοποιήσει τα εργαλεία ασφαλείας ή να εκτελέσει εργαλεία απόρριψης διαπιστευτηρίων όπως το Mimikatz, τα οποία μπορούν στη συνέχεια να ενεργοποιήσουν την πλευρική μετακίνηση ή τον παραβιασμό των λογαριασμών τομέα».

Μερικά από τα άλλα σημαντικά σφάλματα κλιμάκωσης προνομίων περιλαμβάνονται CVE-2024-20653 στο κοινό σύστημα αρχείων καταγραφής των Windows, CVE-2024-20698 στον πυρήνα των Windows, CVE-2024-20683 σε Win32k, και CVE-2024-20686 σε Win32k. Η Microsoft έχει αξιολογήσει όλα αυτά τα ελαττώματα ως ζητήματα που είναι πιο πιθανό να εκμεταλλευτούν οι επιτιθέμενοι, σύμφωνα με δήλωση του Satnam Narang, ανώτερου ερευνητικού μηχανικού προσωπικού της Tenable. «Αυτά τα σφάλματα χρησιμοποιούνται συνήθως ως μέρος της δραστηριότητας μετά τον συμβιβασμό», είπε. «Δηλαδή, από τη στιγμή που οι επιτιθέμενοι έχουν αποκτήσει μια αρχική βάση στα συστήματα».

Μεταξύ των ελαττωμάτων που η Microsoft κατέταξε ως σημαντικά, αλλά που χρειάζονται γρήγορη προσοχή, είναι CVE-2024-0056, μια δυνατότητα παράκαμψης ασφαλείας στην SQL, λέει ο Abbasi. Το ελάττωμα επιτρέπει σε έναν εισβολέα να εκτελέσει μια επίθεση μηχανής στη μέση, παρεμποδίζοντας και ενδεχομένως αλλάζοντας την κυκλοφορία TLS μεταξύ ενός πελάτη και του διακομιστή, σημειώνει. "Εάν γίνει εκμετάλλευση, ένας εισβολέας θα μπορούσε να αποκρυπτογραφήσει, να διαβάσει ή να τροποποιήσει την ασφαλή κυκλοφορία TLS, παραβιάζοντας την εμπιστευτικότητα και την ακεραιότητα των δεδομένων." Ο Abbasi λέει ότι ένας εισβολέας θα μπορούσε επίσης να αξιοποιήσει το ελάττωμα για να εκμεταλλευτεί τον SQL Server μέσω του SQL Data Provider.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass